Компрометация Daemon Tools

Daemon Tools помните? А он засветился в атаках — конечно же, на цепочку поставок. Установщики были скомпрометированы и доставляют малварь с 8 апреля. В комплекте загрузчик, причём подписано всё сертификатами разработчика.

Затронуты установщики с версии 12.5.0.2421; после раскрытия вендор решил проблему, версия 12.6.0.2445 чистая. Вредонос стучит по С2 и подтягивает дополнительную нагрузку, в большинстве случаев это имплант для сбора системной инфы. Со строками на китайском — если кто ещё не догадался, от кого можно ждать такой изящный подгон.

При этом десяток организаций отхватили бэкдор, одной достался уникальный RAT — атака таргетированная, в лучших традициях китайских умельцев. Здесь можно вспомнить компрометацию NotePad++. Так что пока TeamPCP наводит шум, орудуя кувалдой по экосистеме, сумрачный китайский гений тихонько работает.